Módulo 3. La Investigación Criminal en Delitos Informáticos

Instituto Europeo de Investigación Criminal IEIC
MÓDULO 3
LA INVESTIGACIÓN CRIMINAL
EN DELITOS INFORMÁTICOS
INTRODUCCIÓN
El desarrollo de Internet y de las nuevas tecnologías asociadas a la

red relacionadas con la información y las comunicaciones hacen del
ciberespacio un nuevo lugar para la perpetración de distintos
ataques a bienes jurídicos tan importantes como la intimidad, el
honor, la propiedad, la libertad sexual y hasta la integridad física y la
vida.
Aunque la mayoría de las conductas no son, en esencia, algo nuevo

en sí mismas la extraordinaria particularidad del medio con el que
se cometen, o sobre el que actúan, confiere a estas conductas una
especial configuración que obliga a romper los esquemas clásicos
para su investigación y enjuiciamiento.
Afortunadamente el Derecho Penal y el Derecho Procesal Penal

han evolucionado para enfrentarse a ese nuevo cauce de ejecución
delictiva que se desarrolla en un ámbito virtual y tecnológico,
1
diferente al modelo tradicional de criminalidad física, individual e

interpersonal, ya que cuestiona los axiomas vigentes.
Consideramos de interés realizar una revisión a las más

particularidades que ofrece la investigación y enjuiciamiento de
estas conductas delictivas comprendidas bajo el término
cibercrimen.
Vamos a definir “ciberdelito” o “cibercrimen” como cualquier

infracción punible, ya sea delito o falta, en el que se involucra un
equipo informático o Internet y en el que el ordenador, teléfono,
televisión, reproductor de audio o vídeo o dispositivo electrónico, en
general, puede ser usado para la comisión del delito o puede ser
objeto del mismo delito.
Es importante establecer la diferencia entre el delito informático,

que se vale de elementos informáticos para la perpetración, y el
ciberdelito que se refiere a una posterior generación delictiva
vinculada a las TIC en el que interviene la comunicación telemática
abierta, cerrada o de uso restringido.
Es evidente que para hacer frente a esta forma de delincuencia se

precisan unidades policiales de investigación especializadas y
dotadas de los medios técnicos necesarios para la efectividad de su
trabajo e, igualmente, se necesario un sistema judicial rápido y
especializado de este tipo de conductas.
2
El Convenio sobre Ciberdelincuencia, firmado en Budapest el 23 de

noviembre de 2001, supone la respuesta a la necesidad de tener
medios eficaces de cooperación para la lucha contra la
cibercriminalidad. Se refiere al desarrollo y la utilización, cada vez
mayor, de las Tecnologías de la Información y la Comunicación, así
como la necesidad de aplicar una política penal común, encaminada
a proteger a la sociedad frente a la este nuevo tipo de delincuencia,
adoptando y armonizando una legislación adecuada en todos los
países y manteniendo una política de cooperación internacional.
El Convenio contempla expresamente los delitos informáticos y

define los tipos penales que han de considerarse para cada uno
ellos: delitos contra la confidencialidad, la integridad, y la
disponibilidad de los datos y sistemas informáticos, delitos
relacionados con el contenido, delitos relacionados con infracciones
de la propiedad intelectual y derechos afines.
Posteriormente, en 2003 se promulgó la firma del Protocolo

Adicional al Convenio de Ciberdelincuencia del Consejo de Europa
criminalizando los actos de racismo y xenofobia relacionados con
las nuevas tecnologías.
3
Dentro de las figuras delictivas más habituales en las que participan

las nuevas tecnologías encontramos los relacionados con
falsedades documentales, revelación de secretos, publicidad, etc.
Actualmente, podemos englobar los tipos de ciberdelitos en los

siguientes grupos: las amenazas, los delitos de exhibicionismo y
provocación sexual, los delitos relativos a la prostitución y
corrupción de menores, los delitos contra la intimidad, los delitos
contra el honor, las estafas, las defraudaciones de fluido eléctrico y
las defraudaciones en telecomunicaciones siempre y cuando se
utilice un mecanismo para la realización de la misma, o alterando
maliciosamente las indicaciones o empleando medios clandestinos,
los daños, los delitos relativos a la propiedad intelectual, los delitos
relativos a la propiedad industrial, los delitos relativos al mercado y
a los consumidores.
Sin embargo, hay que destacar que la fenomenología delictiva

vinculada a las nuevas tecnologías de la información y las
comunicaciones es cada vez más variada y abundante, sus formas
de perpetración van cambiando con el tiempo adaptándose a las
nuevas posibilidades que ofrece el estado de la técnica.
Destacamos en este punto que existen delitos que no necesitan de

grandes conocimientos informáticos, son delitos que pueden
cometerse con relativa facilidad y cometerse por cualquier vía o
canal, ya sea el correo, chats, P2P, las redes
4
sociales, blogs o sms.
Entre los factores que facilitan la impunidad de estas conductas,

podemos referirnos a su acción delictiva es inmediata entre lugares
lejanos, la fugacidad de las acciones y la facilidad para conseguir su
anonimato, la dificultad para identificar las huellas digitales, la fácil
alteración de los rastros de la comisión de unos hechos, dificultad
en la detección y la persecución de las conductas dañosas, el
carácter transnacional de estas conductas delictivas junto con su
insuficiente regulación legal y la escasa conciencia de los usuarios
sobre la necesidad de mantener unas mínimas medidas preventivas
de seguridad.
INVESTIGACIÓN DEL CIBERDELITO
Generalmente la investigación suele iniciarse con una denuncia

realizada por los particulares afectados por la conducta delictiva o
por solicitud al juzgado para que libre mandamiento dirigido a los
proveedores de acceso a Internet para que informen sobre los datos
que posean para identificar a los usuarios de las direcciones IP y las
líneas desde las que se efectúan las conexiones así como sus
titulares.
Seguidamente el tribunal iniciará el procedimiento que corresponda

y puede incluso llegar a autorizar la diligencia de entrada y registro
en el domicilio o sede del titular de la línea, levantando acta el
5
secretario judicial. Con esta diligencia de investigación se accede al

ordenador y a los ficheros para obtener copia de los mismos.
En el Cuerpo de Policía Nacional, la Guardia Civil y en algunas

Policías Autonómicas existen unidades especiales de investigación,
y en el año 2011 se creó en España una Fiscalía especializada en
delitos informáticos, la Fiscalía de Criminalidad Informática. Los
delitos que investiga se estructuran en tres categorías:
1.- Delitos en los que el objeto de la actividad delictiva son los

propios sistemas informáticos o las TIC (sabotaje informático,
acceso sin autorización a datos, programas o sistemas informáticos,
revelación de secretos, etc.).
2.- Delitos en los que la actividad criminal se sirve para su ejecución

de las ventajas que ofrecen las TIC (estafas informáticas, delitos
contra la propiedad intelectual, corrupción de menores y personas
discapacitadas, pornografía infantil, etc.).
3.- Delitos en los que la actividad criminal, además de servirse para

su ejecución de las ventajas que ofrecen las TIC, entraña especial
complejidad en su investigación que demanda conocimientos
específicos en la materia (falsificación documental, injurias y
calumnias contra funcionarios públicos, amenazas y coacciones,
delitos contra la integridad moral, apología o incitación a la
6
discriminación, el odio y la violencia, justificación de los delitos de

genocidio, etc.).
Esta tipología delictiva de nueva generación hace necesaria la

especialización de los miembros policiales para dar respuesta a las
soluciones que la sociedad demanda contra la delincuencia
informática, deben poseer herramientas y conocimientos para poder
detectar y hacer seguimiento de las conductas delictivas para
identificar a su autor.
En todo caso resulta importante destacar que los infractores suelen

conocer muy bien el medio empleado para la comisión delictiva por
lo que se convierten en especialistas para borrar las huellas o
rastros que quedan en la red hasta conseguir con frecuencia su
completa impunidad.
Además en este tipo de conductas destaca su habitual carácter

transfronterizo y su extraterritorialidad lo que posibilita que se
cometan en un lugar y se produzcan los resultados en otro lugar
distinto o que se cometan simultáneamente en diferentes lugares, a
veces muy distantes entre si, lo que dificulta también la
investigación y la actuación de las autoridades policiales y
judiciales, es el caso, por ejemplo del delito de injurias, calumnias o
difamación realizado en redes sociales.
7
La importancia de los datos de tráfico
El anonimato que ofrece Internet y la posibilidad de ejecución de

conductas dañosas a distancia dificultan la detección de los
posibles delitos.
Tampoco es fácil, en muchas ocasiones, delimitar quien es el autor

de dichas conductas. Por eso para investigar una comunicación
delictiva realizada a través de las TIC lo que hay que determinar los
datos de tráfico y los rastros de navegación, ya que aportan
información fundamental sobre el origen de una comunicación y las
idas y venidas de la misma entre los distintos dispositivos a través
de la red.
Internet está constituido por un gran número de ordenadores

conectados entre sí formando pequeñas redes que, a su vez, se
enlazan en la red de redes.
El primer paso que realiza un usuario para entrar en Internet es

comunicar su equipo con un Proveedor de Acceso a Internet (ISP) a
través de un operador de telecomunicaciones. El proveedor asigna
un identificador o número diferente IP (Internet Protocol) para
identificar a cada usuario. Los números IP son únicos, están
compuestos por cuatro grupos de números naturales que puede
adquirir el valor de 0 hasta 225 separados entre si por puntos, estos
8
dígitos combinados permiten unos 4.000 millones de combinaciones

diferentes.
Para que dos ordenadores distintos con sistemas operativos

diferentes se intercambien información entre sí se han diseñado
unos protocolos de comunicación encapsulando la información en
capas o paquetes, según los servicios, que se denominan “datos del
tráfico”.
Los datos de tráfico no siempre se localizan fácilmente.
Generalmente se almacenan por los sistemas y aplicaciones

informáticas y su conservación y el tiempo de ésta es configurable
por el usuario que maneja el sistema. Para conseguir dichos datos
tendremos que conocer el número IP en el momento de conectarse
a Internet, el momento concreto de acceso para la comisión del
hecho dañoso, así como identificar el ordenador, su ubicación, el
abonado de la línea telefónica o el contrato de acceso.
Como regla general, realizando la investigación sobre los datos de

tráfico, se podrá llegar a ubicar el equipo y a identificar al abonado,
que no al usuario, pues puede ser otra persona diferente, por lo cual
se hace necesario realizar la clásica vigilancia policial apoyada en
los procedimientos comunes como vigilancia ordinaria,
intervenciones telefónicas, rastreo de IP, etc.
9
En este sentido hay que destacar que los proveedores de servicio

de Internet deben proporcionar una información determinante para
la investigación, los técnicos policiales necesitan los siguientes
datos:
- La dirección IP asignada al sospechoso por el proveedor y los

datos contractuales (nombre y dirección) junto con la hora, fecha y
duración de la comunicación, la concreta transacción o intercambio
realizado.
- La localización geográfica desde la que se conecta el sospechoso

con el proveedor.
- Las cuentas corrientes asociadas al pago de los servicios.
- El número de teléfono de origen y destino de las comunicaciones

realizadas por el sospechoso.
- La concreta transacción o intercambio ilícito.
- La copia de los ficheros de que disponga el sospechoso en su

espacio web.
- Las llamadas perdidas con determinación de su hora, duración y

frecuencia.
10
- El tipo de servicio telefónico empleado por el sospechoso.
- El identificador del equipo en los teléfonos móviles.
- Los datos de fecha y momento de activación de la tarjeta prepago

de móviles, etc.
Cada ordenador tiene asignada una dirección IP en el momento de

conectarse a Internet por lo que su seguimiento no es complejo a
priori. Sin embargo los actuales protocolos IP no garantizan siempre
la determinación de la dirección del emisor ya que la misma puede
ser manipulada.
El contenido de las comunicaciones postales, telegráficas y

telefónicas está protegido constitucionalmente por lo que nunca
podrá conocerse el exacto contenido de las comunicaciones
realizadas a través de las TIC.
A partir de los datos obtenidos puede llegarse a determinar el lugar

de comisión de los hechos, la máquina de origen, los autores de la
conducta y el tipo de conducta punible que se ha perpetrado.
Muchos autores han puesto de manifiesto que el hecho de mejorar

la seguridad implica la pérdida de privacidad e intimidad lo cual
supone un elemento importante a tener en cuenta. Por eso hay que
destacar que los datos de tráfico están considerados por la Ley
11
Orgánica de Protección de datos como datos reservados de

carácter personal lo cual obliga a su tratamiento adecuado,
conforme a la legislación específica.
Medidas de investigación más eficaces
Podemos destacar que las medidas de investigación más eficaces

para perseguir las conductas relacionadas con las TIC son:
- La coordinación de entradas y registros en diferentes partidos

judiciales a través de la vía del auxilio judicial.
- La infiltración de agente encubierto en la red de la organización

criminal.
- La interceptación de las comunicaciones para descubrir sus

componentes.
- El método de actuación, y el destino final de los ingresos

ilícitamente obtenidos.
- La utilización de aparatos de escucha y filmación de actividades.
- Las informaciones provenientes de delatores y confidentes.
- La incautación de equipos.
12
- La recuperación de logs, mensajes o backups.
- El volcado de datos de dispositivos en los que se almacena la

información.
- Y en general la recogida y conservación de los efectos

relacionados con el ilícito.
Para que se acuerden estas medidas de investigación, que

restringen derechos fundamentales reconocidos en la Constitución,
el Tribunal Constitucional exige la observancia del principio de
proporcionalidad de manera que es necesario constatar tres
condiciones:
- Si tal medida es susceptible de conseguir el objetivo propuesto

(juicio de idoneidad).
- Si además es necesaria en el sentido de que no exista otra

medida más moderada para la consecución de tal propósito con la
misma eficacia (juicio de necesidad).
- Si la misma es ponderada y equilibrada por derivarse de ella más

beneficios y ventajas para el interés general que perjuicios sobre
otros bienes o valores en conflicto (juicio de proporcionalidad en
sentido estricto).
13
La proporcionalidad de la medida debe ser valorada por el juez de

guardia al que se solicita en función del hecho delictivo
presuntamente cometido que debe ser grave, lo cual dificulta en
muchas ocasiones la investigación de determinados delitos.
La duración del registro domiciliario también es un problema a tener

en cuenta, pues el proceso de volcado y de análisis inmediato se
suele prolongar más en el tiempo.
Hoy en día, como consecuencia del avance de las nuevas

tecnologías, existen herramientas eficaces de ciber-rastreo o
monitorización consistentes en el uso de programas informáticos de
software para la detección de rastros delictivos en la red14 y
ofrecen buenos resultados.
Todas estas medidas de investigación tienen que realizarse de

acuerdo con los mandatos y garantías legales establecidos para
cada caso en la legislación.
Su incumplimiento puede generar la falta de validez de las

investigaciones y de las consiguientes pruebas relacionadas en el
acto del juicio, por lo que resulta fundamental cumplir
escrupulosamente todas las disposiciones legales previstas.
14
Fases generales de la investigación
En general el desarrollo de la investigación en el ámbito de la

delincuencia tecnológica suele sistematizarse en tres fases que
persiguen objetivos diferentes y consecutivos:
- Fase previa, para comprender qué ha pasado, en qué ha

consistido el delito y cómo se ha podido perpetrar.
- Fase de investigación propiamente dicha, para esclarecer quién es

el posible responsable y si ha perpetrado efectivamente alguna
acción punible.
- Fase incriminatoria, en la que se obtienen y aseguran las pruebas

del delito para la posterior fase de enjuiciamiento.
Conviene destacar que las actuaciones técnicas que deben

practicarse para la investigación de este tipo de delitos requieren
personal técnico adecuado con objeto de evitar que los elementos
obtenidos sean invalidados en posibles procesos judiciales,
Generalmente se siguen una serie de prácticas reconocidas

internacionalmente para documentar y razonar los análisis.
15
La fase previa se inicia con el conocimiento del delito por parte de

las autoridades y organismos encargados de la investigación
criminal, generalmente a través de la denuncia presentada por las
víctimas, afectados o perjudicados por el delito.
Comprobar que se ha perpetrado el delito y cómo se ha perpetrado

es una de las fases más complejas de toda la investigación por lo
que se suele solicitar la ayuda de los servidores de la red que
pueden localizar los rastros del delito de forma muy rápida según lo
que hemos destacado anteriormente. Además
los servidores suelen guardar un registro de sucesos de lo que
ocurre (logs), que contienen información de gran utilidad durante las
investigaciones, como por ejemplo los equipos que han tenido
asignada una determinada IP y en qué períodos, las fechas y
archivos pedidos, la contestación, la página desde la que se pide el
archivo, la información sobre la versión del navegador, el terminal
del usuario, los equipos que han navegado, a qué páginas y
cuando, las comunicaciones relacionadas con un incidente, los
accesos a los servidores, los intentos de acceso, las acciones
sospechosas, etc.
A este respecto tenemos que destacar que los ordenadores

personales no suelen guardar logs por lo que, en la mayoría de las
ocasiones, hay que realizar back-up´s para detectar las evidencias
del delito.
16
La fase de investigación propiamente dicha consiste en llevar a

cabo toda una serie de operaciones técnicas para intentar
determinar como se ha cometido el delito, y para comprender su
forma de perpetración, así como su posible vinculación con otras
posibles conductas delictivas.
De esta forma se pueden llegar a identificar sus conexiones y a

precisar los datos de tráfico afectados para identificar al abonado
titular de la conexión.
Una vez realizadas las oportunas pesquisas policiales se llega a

identificar un equipo y un abonado pero no al usuario concreto que
presuntamente cometió el delito.
También tenemos que destacar que, una vez perpetrados los

hechos presuntamente delictivos, muchas veces no se denuncian
por desconocimiento de los padres de su realización o, conocidos
por los progenitores no se denuncian para intentar preservar la
estabilidad emocional y el anonimato de sus hijos.
El log es una de las principales herramientas para conocer los

detalles de las operaciones realizadas en el sistema y por tanto
para la investigación de un eventual delito. Esto suscita importantes
riesgos para la intimidad de los ciudadanos al contravenir el
derecho al secreto en las comunicaciones.
17
En algunos casos la vanidad del delincuente, le suele llevar a firmar

sus actuaciones, lo que suele resultar de gran ayuda para llevar a
cabo la investigación criminal.
El acto ilícito ha podido ser realizado por el propio abonado o un

familiar o un usuario accidental o un usuario remoto, etc. Por tanto
todos estos aspectos a los que nos hemos referido no serán prueba
objetiva en un juicio, sino un indicio de uso de un equipo
informático.
A este respecto la complejidad aumenta con la existencia de

troyanos o caballos de Troya que se alojan en el interior de un
“programa inocente” y se ocultan en el ordenador permitiendo el
control remoto del equipo afectado como un “zombie” llegando a
crearse redes de ordenadores infectados (botnets) que sirven de
plataforma para la comisión de gran cantidad de hechos delictivos.
La fase incriminatoria comprende la intervención y aprehensión de

los ordenadores -hardware y software concreto- generalmente
mediante la entrada y registro domiciliario en el lugar en que se
encuentren, así como la ulterior y determinante redacción de los
informes periciales.
Para intervenir y aprehender los ordenadores o dispositivos con que

se ha cometido el delito, así como los indicios relacionados con su
18
comisión, se debe realizar una entrada y registro con un

mandamiento judicial:
- Por un lado se interviene el material y dispositivos informáticos

susceptibles de contener indicios de criminalidad: concretamente se
intervienen todos los dispositivos informáticos y tecnológicos, así
como los documentos físicos necesarios para el funcionamiento de
los dispositivos intervenidos (manuales, instrucciones, anotaciones
de contraseñas, pliegos de datos etc.).
Se hace necesario intervenir todo el equipo completo (disco duro,

monitor, teclado, ratón, router, memorias externas, pen drive,
tarjetas de almacenamiento, etc.).
Es muy importante intentar mantener la integridad de todo el equipo

intervenido para lo cual se realizará su precintado así como su
plena identificación en el acta de entrada y registro confeccionada
por el secretario judicial.
Existen casos en los que un conjunto de equipos informáticos cuyo

número puede oscilar entre cientos y miles que pueden ser
controlados maliciosamente por control remoto ejecutando las
órdenes que recibe. La organización funciona en forma de
estructura piramidal en ocasiones muy compleja para complicar la
detección de los máximos responsables: en la cúspide se encuentra
el script writer que es el auténtico hacker creando un código
19
malicioso. Seguidamente se encuentran los herders que pueden

controlar varios botnets y que reciben una cantidad económica por
sus servicios. Finalmente se encuentran los ordenadores que
ejecutan las órdenes en el momento indicado y que se denominan
bots o zombies.
En estas organizaciones se suelen localizar también otra serie de

integrantes que se encargan de cobrar el producto de sus ataques y
repartirlo entre cada uno de los participantes. El servidor a través
del cual se controlan todas las operaciones suele estar localizado
en un país en el que la legislación es muy permisiva con este tipo
de hechos por lo que su actividad no podrá ser suspendida aun
cuando sea detectada.
- Por otro lado se intervienen indicios que puedan vincular al usuario

y al equipo con la comisión del hecho delictivo investigado, así
como de los instrumentos y efectos relacionados.
Otra medida de investigación que puede llevarse a cabo es la de

inspección ocular por parte del juez, para reconocer el lugar en el
que se encuentran los indicios materiales del delito o los lugares por
los cuales haya podido circular la comunicación delictiva. Aunque
en general este tipo de investigaciones no suelen ofrecer buenos
resultados en estos casos pueden ser de interés para lograr formar
la convicción del juzgador sobre unos hechos supuestamente
delictivos.
20
En todo caso conviene aislar el lugar del crimen y el ordenador o

dispositivo electrónico desde el que se ha producido la
comunicación, para poder buscar los indicios que permitan entender
lo que ha sucedido y desarrollar la investigación criminal.
Por eso resultan fundamentales las primeras horas de intervención

de los equipos y las primeras declaraciones obtenidas del entorno
del sospechoso para conseguir los indicios necesarios y justificar la
detención.
En este caso se realizan interrogatorios dirigidos a esclarecer la

comisión del hecho delictivo.
Posteriormente se procede al análisis de los efectos intervenidos

para lo cual se realiza una copia previa de la información
denominada “volcado”, siempre salvaguardando el original. Esta
operación se realiza para conocer, en el momento de la intervención
judicial, el contenido real del ordenador intervenido. Se efectúa una
copia del soporte original, tanto del hardware como del software o
de cualquiera de ellos. De esta forma no se correrá peligro de que
el contenido se pierda, deteriore o altere por cualquier causa, pues
resulta determinante entregar al juez el auténtico cuerpo del delito.
Resulta determinante garantizar la cadena de custodia del “volcado”

realizado por lo cual debe realizarse en presencia de fedatario
público que franqueará los precintos impuestos durante la
21
intervención.
Por eso algunos cuerpos investigadores de los delitos telemáticos

realizan este “volcado instantáneo” durante el propio acto de
registro domiciliario, para que el secretario de fe de su intervención
y de la copia realizada.
Realizado ese “volcado” debe mantenerse el precintado de los

equipos intervenidos para garantizar la cadena de custodia de la
prueba. Se realizará el análisis pericial y se almacenarán los discos
duros de forma que se garantice su integridad, para lo cual hay que
guardar una serie de precauciones mínimas evitando golpes que
dañarían la posterior lectura de los dispositivos, estando siempre a
disposición judicial.
El análisis pericial de los investigadores se realiza sobre el

“volcado” con una doble finalidad:
- Localizar e identificar las evidencias electrónicas para constituir la

prueba indiciaria.
- Localizar e identificar las evidencias que permitan vincular el

equipo, el usuario, el abonado y los datos.
Para realizar este análisis no existen unas herramientas

preestablecidas judicialmente, sino que cada Cuerpo de Seguridad
22
del Estado utiliza las suyas propias de manera que se genera cierta
inseguridad jurídica tanto para los propios procesados como para
los investigadores.
Este análisis al que nos referimos resulta determinante y puede

tardar semanas e incluso meses en ser culminado definitivamente,
ya que depende del grado de complejidad que haya alcanzado la
comisión del hecho delictivo, de los conocimientos informáticos y las
técnicas de ocultación de las actividades delictivas, del tipo de
dispositivo empleado, etc.
A este respecto hay que destacar que el análisis que se realiza no

siempre es concluyente, de manera que los indicios que se obtienen
por separado no significan nada pero, en su conjunto e
interpretados de manera interrelacionada, pueden constituir la
prueba para un juicio.
Con el conjunto de indicios obtenidos en todos los análisis

efectuados se elabora un informe técnico de naturaleza policial para
que, de forma comprensible para el juez, se pueda explicar la
comisión del hecho delictivo por una persona concreta.
En ese informe se deberá realizar también una descripción, lo más

detallada posible, de las operaciones practicadas para llegar a las
conclusiones finales que se contengan en el mismo.
23
ENJUICIAMIENTO Y PRUEBA
La prueba en formato electrónico es la única solución para

evidenciar la comisión delictiva y requerirá, tanto un exhaustivo
análisis para demostrar ante la autoridad judicial la autoría de unos
hechos así como su adecuada presentación en el seno del proceso
con valor probatorio como tal.
Como regla general en los delitos en que intervienen las nuevas

tecnologías de la información y las comunicaciones la prueba
pericial consistirá en realizar un análisis de los dispositivos
aprehendidos, para examinar a fondo su contenido y llegar a
acreditar la perpetración de los respectivos hechos.
Se puede definir la prueba electrónica como cualquier información

obtenida a partir de un dispositivo electrónico, o medio digital, que
sirve para adquirir convencimiento de la certeza de un hecho. A
pesar de su importancia la prueba electrónica sigue siendo un
instrumento bastante desconocido en el ámbito judicial por parte de
jueces, magistrados, fiscales y en general por los profesionales
del Derecho.
La volatilidad característica de la prueba electrónica hace necesario

que sea sustituida por unos protocolos seguros de actuación que
garanticen su inalterabilidad o no manipulación por ningún
movimiento, a veces tan fortuito como encender o apagar un
24
ordenador, o intencionado por parte de los implicados en la

comisión de un delito para ocultar su autoría.
La prueba electrónica se convierte en el elemento fundamental de

cualquier procedimiento en el que se hayan empleado medios
electrónicos para la comisión delictiva. Y en el seno del mismo
deberá reconstruirse la cadena de acontecimientos llevados a cabo
ilícitamente, lo cual suele resultar muy complejo.
25

Módulo 3. La Investigación Criminal en Delitos Informáticos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Módulo 3. La Investigación Criminal en Delitos Informáticos

Cargado por

Copyright:

Formatos disponibles

Instituto Europeo de Investigación Criminal IEIC

El desarrollo de Internet y de las nuevas tecnologías asociadas a la

Aunque la mayoría de las conductas no son, en esencia, algo nuevo

Afortunadamente el Derecho Penal y el Derecho Procesal Penal

diferente al modelo tradicional de criminalidad física, individual e

Consideramos de interés realizar una revisión a las más

Vamos a definir “ciberdelito” o “cibercrimen” como cualquier

Es importante establecer la diferencia entre el delito informático,

Es evidente que para hacer frente a esta forma de delincuencia se

El Convenio sobre Ciberdelincuencia, firmado en Budapest el 23 de

El Convenio contempla expresamente los delitos informáticos y

Posteriormente, en 2003 se promulgó la firma del Protocolo

Dentro de las figuras delictivas más habituales en las que participan

Actualmente, podemos englobar los tipos de ciberdelitos en los

Sin embargo, hay que destacar que la fenomenología delictiva

Destacamos en este punto que existen delitos que no necesitan de

sociales, blogs o sms.

Entre los factores que facilitan la impunidad de estas conductas,

INVESTIGACIÓN DEL CIBERDELITO

Generalmente la investigación suele iniciarse con una denuncia

Seguidamente el tribunal iniciará el procedimiento que corresponda

secretario judicial. Con esta diligencia de investigación se accede al

En el Cuerpo de Policía Nacional, la Guardia Civil y en algunas

1.- Delitos en los que el objeto de la actividad delictiva son los

2.- Delitos en los que la actividad criminal se sirve para su ejecución

3.- Delitos en los que la actividad criminal, además de servirse para

discriminación, el odio y la violencia, justificación de los delitos de

Esta tipología delictiva de nueva generación hace necesaria la

En todo caso resulta importante destacar que los infractores suelen

Además en este tipo de conductas destaca su habitual carácter

La importancia de los datos de tráfico

El anonimato que ofrece Internet y la posibilidad de ejecución de

Tampoco es fácil, en muchas ocasiones, delimitar quien es el autor

Internet está constituido por un gran número de ordenadores

El primer paso que realiza un usuario para entrar en Internet es

dígitos combinados permiten unos 4.000 millones de combinaciones

Para que dos ordenadores distintos con sistemas operativos

Los datos de tráfico no siempre se localizan fácilmente.

Generalmente se almacenan por los sistemas y aplicaciones

Como regla general, realizando la investigación sobre los datos de

En este sentido hay que destacar que los proveedores de servicio

- La dirección IP asignada al sospechoso por el proveedor y los

- La localización geográfica desde la que se conecta el sospechoso

- Las cuentas corrientes asociadas al pago de los servicios.

- El número de teléfono de origen y destino de las comunicaciones

- La concreta transacción o intercambio ilícito.

- La copia de los ficheros de que disponga el sospechoso en su

- Las llamadas perdidas con determinación de su hora, duración y

- El tipo de servicio telefónico empleado por el sospechoso.

- El identificador del equipo en los teléfonos móviles.

- Los datos de fecha y momento de activación de la tarjeta prepago

Cada ordenador tiene asignada una dirección IP en el momento de

El contenido de las comunicaciones postales, telegráficas y

A partir de los datos obtenidos puede llegarse a determinar el lugar

Muchos autores han puesto de manifiesto que el hecho de mejorar

Orgánica de Protección de datos como datos reservados de

Medidas de investigación más eficaces

Podemos destacar que las medidas de investigación más eficaces

- La coordinación de entradas y registros en diferentes partidos

- La infiltración de agente encubierto en la red de la organización

- La interceptación de las comunicaciones para descubrir sus

- El método de actuación, y el destino final de los ingresos

- La utilización de aparatos de escucha y filmación de actividades.